• 标 题:How to unpack PE file packed by UPX 0.72 by dREAMtHEATER (2千字)
  • 作 者:dREAMtHEATER
  • 时 间:2000-10-22 17:43:33
  • 链 接:http://bbs.pediy.com

How to unpack PE file packed by UPX 0.72

Analysis:
      UPX是一个可以高度压缩PE文件格式的免费的packer,压缩后original file的section被重新组织成4个section,分别从upx0到upx2, section of upx0,其Raw Size是0,但Virtual Size与原始文件Size of Image相比,稍大,可见是UPX是将解压缩后的原始文件数据映射到此;upx1起始部分是被UPX重新构建的Import Table,但很不幸,只包括IMAGE_IMPORT_DESCRIPTOR中的Name部分的正确信息,再往下是被extract出的Resource部分的Icon和Version Information,但无法用eXeScope正确查看;upx2为UPX的解压缩代码,upx3包括被压缩的原始数据。

Unpacking Procedure:
1.用PEditor查看size of image及image base,并记录
2.在Hex Workshop中,查找"EBE261E9",在E9处记下file offset
3.计算E9处的VA
4.在Sice Loader中载入要dump的压缩exe文件,并根据E9的VA设断点
5.中断后,记下断点处jmp 00********,其中跳转的地址是程序真正的EP,并记下
6.根据size of image及image base用IceDump将刚刚解压缩完毕的内存映射数据dump到文件中
7.修改文件的EP,并令各个section的Raw size=Virtual Size, Raw offset=Virtual Size
8.删除section upx2,upx3(一些情况下你可能需要保留upx2)
9.Realign File

Tools to be included:
1.PEditor 1.7 by by yoda and M.o.D.
2.SoftIce for Win9x 4.05 by NuMega Company
3.Hex Workshop by BreakPoint SoftWare, Inc.
4.IceDump 6.0.1.9 by the Icedump Team
5.笔和纸 :-)

以上所有工具均可从Programmer's tools站点下载(别告诉我你不知道)

Problem:
    虽然用UPX 0.72加完壳的程序在脱壳后,可以不需重新构建import table,但我看到 import table 结构已完全发生变化,IMAGE_IMPORT_DESCRIPTOR结构中,只有Name部分指向是正确的,而FirstThunk部分定位不正确,但原始文件中被FirstThunk所指向的array of IMAGE_THUNK_DATA与脱壳的文件中存在的部分内存映射是一样的,只是原始文件中的array of IMAGE_THUNK_DATA在被映射到内存中后会被PE Loader替换为各个dll中的function的内存真正入口地址,而在脱壳文件中本身已被UPX手动替换成各个dll中的function的内存入口地址,当脱壳文件被PE Loader载入后,不再需要PE Loader的帮忙,我的疑问就在于此,即我现在搞不清楚,PE Loader在将此脱壳文件装入内存后,就不再需要对这些function做重新定位了吗?每次dll的装载位置都是一样的吗?
  另外resource如何重新构建?请高手回答!

Written by dREAMtHEATER
E-Mail: dreamtheater@263.net
2000.10.22